g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di decreto recante “Tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti con i dispositivi medici”, attuativo dell’art. 10, comma 9, del decreto legislativo 5 agosto 2022, n. 137 - 27 aprile 2023 [9896508]

Parere sullo schema di decreto recante “Tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti con i dispositivi medici”, attuativo dell’art. 10, comma 9, del decreto legislativo 5 agosto 2022, n. 137 - 27 aprile 2023 [9896508]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9896508]

Parere sullo schema di decreto recante “Tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti con i dispositivi medici”, attuativo dell’art. 10, comma 9, del decreto legislativo 5 agosto 2022, n. 137 - 27 aprile 2023

Registro dei provvedimenti
n. 187 del 27 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il Regolamento (UE) 2017/746, del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medico-diagnostici in vitro e che abroga la direttiva 98/79/CE e la decisione 2010/227/UE della Commissione;

VISTO il parere del Garante del 26 maggio 2022, n. 189 sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2017/745, relativo ai dispositivi medico-diagnostici (doc. web n. 9782450);

VISTO il d.lgs. 5 agosto 2022, n. 137 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017 , relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE , il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio, nonché per l'adeguamento alle disposizioni del regolamento (UE) 2020/561 del Parlamento europeo e del Consiglio, del 23 aprile 2020, che modifica il regolamento (UE) 2017/745 relativo ai dispositivi medici, per quanto riguarda le date di applicazione di alcune delle sue disposizioni ai sensi dell' articolo 15 della legge 22 aprile 2021, n. 53”;

VISTA la nota con la quale il Ministero della salute ha chiesto al Garante di esprimere il parere di competenza sullo schema di decreto del Ministro della salute recante “Tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti con i dispositivi medici”, attuativo dell’art. 10, comma 9, del decreto legislativo 5 agosto 2022, n. 137 (nota del 27 marzo 2023, prot. n. 25645);

CONSIDERATO che il Garante nel citato parere del 26 maggio 2022, n. 189, ai sensi dell’articolo 36, par. 4, del Regolamento, ha espresso parere favorevole sul proposto schema di decreto legislativo, con le seguenti condizioni:

”a) introdurre una specifica disposizione sulla protezione dei dati personali trattati nell’ambito delle attività funzionali alla fornitura o manutenzione dei dispositivi, tale da:

inibire l’accesso ai dati anagrafici e anamnestici del paziente, salva l’indispensabilità ai fini dell’erogazione del servizio di manutenzione e telediagnosi/teleintervento, rendendo comunque tracciabile ogni operazione di intervento/accesso;

inquadrare quale responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento, la società produttrice del dispositivo medico, per le attività di controllo della funzionalità dell’apparecchiatura anche a distanza svolta per conto del titolare (c.d. servizi di manutenzione e di assistenza);

b) disciplinare, anche nell’ambito dei provvedimenti attuativi cui già lo schema di decreto legislativo rinvia e su cui sarà opportuno acquisire il parere del Garante:

- i tempi di conservazione dei dati personali del fabbricante di dispositivi su misura ai sensi dell’articolo 7;

- i tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti verificatisi dopo l’immissione in commercio di un dispositivo medico, ai sensi dell’articolo 10, c. 8”;

PRESO ATTO che, a seguito del predetto parere del Garante:

l’articolo 10, comma 9 del decreto legislativo 5 agosto 2022, n. 137 demanda ad apposito decreto del Ministero della salute l’individuazione dei tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti verificatisi dopo l’immissione in commercio di un dispositivo medico;

l’articolo 21 del decreto legislativo 5 agosto 2022, n. 137 ha previsto che “Qualora per il dispositivo medico siano previste dal fabbricante attività di taratura, calibrazione, manutenzione o assistenza, da svolgersi anche a distanza, il responsabile del trattamento ai sensi dell'articolo 28 del regolamento (UE) 2016/679 è il fabbricante del dispositivo medico”;

PRESO ATTO di quanto indicato dal Ministero della salute nella relazione illustrativa allegata allo schema di decreto in esame ed, in particolare, che “con riferimento al punto sub b) (del dispositivo del predetto parere) si è ritenuto opportuno procedere all’adozione di due decreti ministeriali distinti rationae materiae: l’uno che disciplina i tempi di conservazione dei dati riferiti ai dispositivi medici su misura di cui all’art. 7 del d.lgs. 137/22; l’altro che disciplina i tempi di conservazione dei dati trasmessi al Ministero nell’ambito delle attività di vigilanza sugli incidenti occorsi con dispositivi medici dopo l’immissione in commercio, di cui al presente decreto”;

CONSIDERATO che lo schema di decreto in esame si compone di 3 articoli aventi ad oggetto i tempi di conservazione dei dati personali dei pazienti, eventualmente forniti contestualmente alle comunicazioni di incidenti verificatisi dopo l’immissione in commercio di un dispositivo medico, e degli operatori sanitari che trasmettono tali segnalazioni;

PRESO ATTO che nello schema di decreto in esame è stato previsto che:

i dati personali dei pazienti eventualmente trasmessi al Ministero della salute, ai sensi dell’art. 10, comma 9, del d.lgs n. 137 del 2022, sono conservati per il tempo strettamente necessario per la valutazione dell’incidente e, comunque, non oltre due anni dalla relativa segnalazione;

i dati personali riferiti agli operatori sanitari ai sensi dell’art. 10, comma 9, del d.lgs. n. 137 del 2022 sono conservati per il tempo necessario per la valutazione dell’incidente e, comunque, non oltre cinque anni dalla relativa segnalazione,

il Ministero della salute provvede, attraverso i propri sistemi informativi, alla cancellazione, decorsi i termini previsti, dei predetti dati personali;

PRESO ATTO delle motivazioni addotte nella predetta reazione illustrativa in ordine ai tempi di conservazione e, in particolare, che:

con riferimento ai dati pazienti, “pur non essendo previsto che il dato personale venga inserito nella segnalazione di incidente, è stato ritenuto congruo un tempo di conservazione non superiore ai due anni che, secondo il dato d’esperienza, rappresenta il termine massimo entro cui vengono concluse le indagini sull’incidente da parte del fabbricante. Al riguardo, pur essendo previsto che il fabbricante proceda senza indugio a svolgere le indagini necessarie ad identificare la causa dell’incidente (art. 89 del regolamento UE 2017/745), dalle attività di vigilanza svolte dall’Autorità competente emerge che alcune tipologie di eventi possano richiedere tempi di conclusioni delle indagini più lunghe e, comunque, non superiore ai due anni”;

con riferimento ai dati degli operatori sanitari, “poiché trattasi di dati (…) che è obbligatorio inserire nella segnalazione dell’incidente, si è ritenuto di indicare un periodo maggiore di conservazione, non superiore a 5 anni. Ciò in quanto alcune tipologie di incidenti possono richiedere delle azioni correttive di sicurezza da parte dei fabbricanti che hanno, di norma, tempi di conclusione più lunghi rispetto a quelli necessari alla gestione del singolo incidente. Secondo il dato d’esperienza le azioni correttive più complesse si chiudono comunque entro i cinque anni. Durante tale periodo l’Autorità competente può avere la necessità di contattare l’operatore sanitario che ha rilevato l’incidente correlato all’azione correttiva”;

PRESO ATTO delle ragioni rappresentate dal Ministero in ordine alle ragioni che hanno portato all’individuazione nello schema di decreto in esame dei suddetti tempi di conservazione dei dati dei pazienti e degli operatori sanitari;

RILEVATO che lo schema di decreto in esame dà attuazione a quanto indicato nella lett. b), secondo alinea, del dispositivo del parere del Garante del 26 maggio 2022, n. 189;

PRESO ATTO che l’indicazione dei tempi di conservazione dei dati riferiti ai dispositivi medici su misura ex art. 7 del d.lgs. 137/22, di cui alla lett. b), primo alinea, del dispositivo del parere del Garante del 26 maggio 2022, n. 189, sarà oggetto di un distinto schema di decreto che è stato trasmesso al Garante il 29 marzo 2023 e su cui viene rilasciato il parere con un separato provvedimento adottato nella medesima data del presente provvedimento;

RILEVATO che non risulta che allo stato sia stata data attuazione alla condizione riportata alla lett. a), primo alinea, del dispositivo del parere del Garante del 26 maggio 2022, in merito all’introduzione di “una specifica disposizione sulla protezione dei dati personali trattati nell’ambito delle attività funzionali alla fornitura o manutenzione dei dispositivi, tale da inibire l’accesso ai dati anagrafici e anamnestici del paziente, salva l’indispensabilità ai fini dell’erogazione del servizio di manutenzione e telediagnosi/teleintervento, rendendo comunque tracciabile ogni operazione di intervento/accesso”;

RITENUTO, pertanto, di dover ribadire la necessità che il Ministero della salute preveda in una specifica disposizione che sia inibito, nell’ambito delle attività funzionali alla fornitura o manutenzione dei dispositivi, l’accesso ai dati anagrafici e anamnestici del paziente, salva l’indispensabilità ai fini dell’erogazione del servizio di manutenzione e telediagnosi/teleintervento, rendendo comunque tracciabile ogni operazione di intervento/accesso, al fine di dare piena ottemperanza al predetto parere del 26 maggio 2022, n. 189;

RITENUTO di non dover formulare ulteriori osservazioni sullo schema di decreto trasmesso, atteso che i termini di conservazione ivi individuati sono ritenuti appropriati e proporzionati anche al fine di tutelare i diritti fondamentali e gli interessi delle persone fisiche correlate ai trattamenti dei dati personali;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, par. 3, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto recante “Tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti con i dispositivi medici”, attuativo dell’art. 10, comma 9, del decreto legislativo 5 agosto 2022, n. 137.

Roma, 27 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9896508
Data
27/04/23

Argomenti

Dati sanitari Aziende sanitarie Pazienti

Tipologie

Parere del Garante

Vedi anche (10)